rankion.ai
🇩🇪 Deutsch 🇬🇧 English 🇫🇷 Français 🇪🇸 Español
Art. 32 DSGVO · monatlich

Security Audits

Öffentliches Log unserer regelmäßigen Sicherheits-Überprüfungen.

Methodik

Wir auditieren unsere Sicherheits-Hygiene monatlich automatisiert plus ad-hoc vor jedem Major-Deploy. Die Ergebnisse veröffentlichen wir hier in redigierter Form (responsible disclosure).

Audits laufen über eine öffentlich dokumentierte Skill und prüfen:

  • Dependencies — CVEs in PHP- und JS-Paketen (composer audit, npm audit)
  • HTTP-Header — HSTS, CSP, X-Frame-Options, Referrer-Policy auf rankion.ai
  • Config-Hygiene — .env-Exposure, Debug-Modus, Storage-Symlinks
  • Auth/Session — CSRF, Session-Cookies, Hashing
  • Code-Patterns — SQL-Injection-Risiken, Mass-Assignment, Output-Escaping
  • Operational — Backups, Queue-Worker, Disk-Usage

Was veröffentlicht wird:

  • Datum, Scope, Methodik, Severity-Counts, Behebungsstatus, nächster Audit
  • Keine konkreten CVE-Nummern offener Findings, keine File-Paths, keine Exploit-Details, keine Library-Versionen während der Patch-Phase

Nächster planmäßiger Audit: 15.05.2026

Audit-Log

Audit — 03.05.2026

6 Findings
0
Kritisch
1
Hoch
3
Mittel
2
Niedrig
Vollständigen Bericht zeigen

Security Audit — 03. Mai 2026

Auditor: Rankion Self-Audit (automatisiert via rankion-security-audit Skill v1.0) Scope: Dependencies, HTTP-Header, Konfiguration, Code-Pattern-Scan, Versionen

Findings

Severity Anzahl Status
Kritisch 0
Hoch 1 Behoben binnen 0h (Patch deployed 03.05.2026)
Mittel 3 2 behoben binnen 0h, 1 im Backlog (Code-Pattern, geplant Q2 2026)
Niedrig 2 1 behoben binnen 0h, 1 im Backlog (Konfigurations-Detail)

Patch-Update (03.05.2026)

4 von 6 Findings wurden noch am Audit-Tag durch Composer-Updates behoben (deployed Commit bd02f9b5):

  • Hoch (1): PHP-Dependency Padding-Oracle — gepatcht durch Upstream-Update
  • Mittel (2): PHP-Dependency Markdown-Sanitizer-Bypasses — gepatcht durch Upstream-Update
  • Niedrig (1): PHP-Dependency Variable-Time-HMAC — gepatcht im selben Update

Im Backlog (2):

  • Mittel (1): Code-Pattern-Befund zu Mass-Assignment in 26 Eloquent-Models — strukturelles Refactoring, geplant Q2 2026
  • Niedrig (1): Konfigurations-Detail (HTTP-Status-Code für nicht existierende Datei sollte 404 statt 403 sein) — kosmetisch, kein Sicherheitsrisiko

Aussage

Der Baseline-Audit ergab keine kritischen Findings. Alle PHP-Dependency-Befunde (1 hoch, 2 mittel, 1 niedrig) wurden noch am Audit-Tag durch Upstream-Updates geschlossen — die 72h-SLA aus unseren TOMs wurde mit 0h Reaktionszeit deutlich unterboten. Zwei Befunde verbleiben im Backlog (1 mittlerer Code-Pattern-Befund und 1 niedrige Konfigurations-Anpassung). Alle wesentlichen HTTP-Sicherheits-Header (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy) sind aktiv. Konfigurationsdateien (.env, _ignition, .git) sind nicht öffentlich abrufbar. Die JS-Abhängigkeitskette (Production-only) ist ohne Befund.

Geprüfte Bereiche

  • Dependencies: PHP- und JS-Pakete (composer audit, npm audit)
  • HTTP-Header: rankion.ai-Live-Response gegen die OWASP-Header-Baseline
  • Konfiguration: Exposure-Tests für .env, Debug-Routen, VCS-Verzeichnisse
  • Code-Patterns: Output-Escaping, Mass-Assignment, gefährliche Funktionen
  • Versionen: PHP- und Framework-Releases gegen Supportmatrix

Methodik

Vollständige Methodik und Skill-Definition: /trust/security-audit-skill

Nächster Audit

Geplant: 15. Juni 2026

← Zurück zum Trust Center

Letzte Aktualisierung: 03.05.2026

Cookies: Wir nutzen notwendige Cookies für die Funktion und optionale für Verbesserungen. Details

Notwendig
Aktiv
Analytics
Marketing